In un panorama aziendale in cui la sicurezza informatica si rivela sempre più cruciale, il ruolo del Chief Information Security Officer (CISO) assume un’importanza strategica.
Non è più solo una figura tecnica relegata ai margini delle decisioni aziendali ma diventa centrale nell’orchestrare la difesa contro minacce sempre più sofisticate.
La collaborazione tra il CISO e il consiglio di amministrazione è fondamentale per allineare le politiche di sicurezza con gli obiettivi aziendali, garantendo così una gestione efficace del rischio. È quanto emerge da una ricerca di Splunk e Oxford Economics che ha visto coinvolti oltre 600 CISO di 10 Paesi compresa l’Italia.
Questa sinergia fra CISO e top management non è esente da sfide, soprattutto quando si confrontano le priorità di sicurezza con le necessità di contenimento dei costi, spesso tradotte in tagli ai budget destinati alla cybersecurity.
L’importanza del CISO nella gerarchia aziendale
Nell’attuale panorama aziendale, caratterizzato da minacce informatiche sempre più sofisticate e pervasive, il ruolo del CISO ha acquisito una certa rilevanza. La ricerca di Splunk e Oxford Economics evidenzia un cambiamento significativo: l‘82% dei CISO ora riporta direttamente al CEO, rispetto al 47% del 2023. Inoltre, l’83% dei CISO partecipa alle riunioni del consiglio di amministrazione con una certa frequenza.
Questo spostamento non solo sottolinea l’aumento della responsabilità per i CISO, ma riflette anche un riconoscimento più ampio dell’importanza strategica della sicurezza informatica. Facendo parte dei C-level, il CISO può influenzare le decisioni a livello esecutivo, garantendo che la sicurezza sia un pilastro centrale e non un’aggiunta postuma alle strategie aziendali.
Allineamento tra CISO e consiglio di amministrazione
Il report evidenzia che i consigli di amministrazione che includono membri con esperienza di CISO tendono a stabilire una comunicazione più efficace riguardo il ruolo nevralgico della sicurezza.
Ciò si traduce in una migliore definizione degli obiettivi di sicurezza (80%) e nella pianificazione adeguata del budget (50%) rispetto ai consigli privi di tale esperienza. Tale sinergia non solo rafforza la posizione del CISO all’interno dell’organizzazione, ma aumenta anche la probabilità di successo delle iniziative di cybersecurity, essenziali per proteggere l’infrastruttura critica aziendale dalle minacce in evoluzione.
CISO e CDA: priorità e competenze
Nonostante il crescente allineamento, permangono significative lacune tra i CISO e i membri del consiglio di amministrazione riguardo alle priorità e alle competenze richieste.
I CISO pongono maggiore enfasi sull’innovazione tecnologica e sulla formazione continua del personale (51% contro il 27% dei CDA), riconoscendo che il mantenimento della sicurezza passa attraverso l’aggiornamento costante delle competenze e delle tecnologie.
Inoltre, c’è un divario nelle aspettative relative alle soft skills: i CDA valorizzano maggiormente il senso business e l’intelligenza emotiva, competenze considerate fondamentali per navigare complesse dinamiche interne ed esterne. Riconoscere e colmare queste discrepanze è vitale per potenziare i CISO in modo che possano contribuire efficacemente alle strategie aziendali generali.
In particolare alla domanda su quali competenze i CISO dovrebbero sviluppare, le maggiori lacune in termini di importanza includono:
- Senso del business (55% per i consigli di amministrazione contro 40% per i CISO)
- Intelligenza emotiva (45% per i consigli di amministrazione contro 35% per i CISO)
- Comunicazione (52% per i consigli di amministrazione contro il 47% per i CISO)
- Conoscenza della regolamentazione e della conformità (44% per i consigli di amministrazione rispetto al 57% per i CISO)
I budget per la cybersecurity
I budget destinati alla cybersecurity mostrano un supporto non coerente e disallineato: solo il 29% dei CISO dichiara di ricevere un budget adeguato per le iniziative di sicurezza informatica e il raggiungimento degli obiettivi di sicurezza, mentre il 41% dei membri del CDA ritiene che i budget per la sicurezza informatica siano sufficienti.
Il 64% dei CISO esprime preoccupazione per il fatto che il contesto normativo attuale e le minacce informatiche possano compromettere la propria capacità di operare efficacemente.
I CISO hanno inoltre segnalato una riduzione delle soluzioni e degli strumenti di sicurezza (50%), il blocco delle assunzioni nel settore della sicurezza (40%) e la diminuzione o l’eliminazione della formazione sulla sicurezza (36%) come principali misure adottate per il contenimento dei costi.
